繼之前久違的再次收到莫名的簡訊後,這類的詐騙訊息又從我的生活中銷聲匿跡了一陣子。
原本以為這個「詐騙吐槽」系列,終於可以安心退下之時,它卻又以新的樣貌回到眼前。
好吧,既然題材自己送上門,那我也不客氣的跟之前一樣,再來一次「開箱」吧!
不同於之前的電話簡訊與 imessage 形式,這次的訊息是直接以 Email 來傳播。
而除了連續兩天來煩之外,信件也劈頭就用「您設備上的 Apple Pay 已暫停」這種會令人瞬間緊張的字句為題。
點進信中,第一眼看到的就是一個大大的 Apple Pay 圖示,底下接著一行跟標題一樣的紅色警告,以及幾行告知性的敘述,一再的提醒著你現在所面臨的「窘境」。
最後再放上一個讓心急萬分的你,能立刻做些什麼大按鈕,整體版面看來簡單,卻又設想十分周到,應該能讓不少人信以為真的上鉤吧?
不過先別急,這時如果我們選擇無視那個按鈕,繼續往下看的話⋯
蛤?這個很明顯是電子報或是廣告郵件才會出現 Footer 是怎麼回事?
這下事情就變的得有趣起來了。
接著我們來仔細看這個區塊的內容,可以發現寄信的來源根本不是 Apple 公司,而是⋯Optiquelozza?
查詢後也無法確定這個名稱的確切來源,似乎是某家眼鏡品牌?
而接下來的這個 Constant Contact 就十分明確了,就是是一個市場推廣的服務,而且還有提供 14 天免費試用。
這裡應該是被有心人士使用來作為亂槍打鳥的散射武器了。
不過說實在的,你要偽裝成這麼重要的 Apple 系統通知,你好歹也藏一下吧?
這麼大隻馬腳露在那裡,不發現也難啊。
再說,如果今天出問題的是像 Apple Pay 這種重大系統功能,第一個發出通知的,絕對是直接透過系統本身,而不會是電子郵件。
像是前一陣子國泰世華的好事多聯名卡自動失效時,將它綁為 Apple Pay 選項的人,就會收到像這樣由手機發出的變更通知,直接告知卡片移除。
另外,除了信中這個完全是在歧視人不長眼的漏洞外,我們還可以看到在 Gmail 的信件分類中,這封信是被歸類為「促銷內容」而非像正常重要通知一般分在「最新快訊」中。
這似乎也提示了這封信,確實帶有著常見廣告信的特徵。
看來連 Google 的 AI 也都洞悉一切的,看穿了這次拙劣的偽裝了呢。
雖然這次的詐騙訊息,與之前相比,已經是假到連藏都不藏的境界,但為了一貫的實驗精神,我們還是實際「鑑賞」一下,這次的做工究竟如何吧。
警告,看到這裡的朋友,千萬不要輕易嘗試!
我們首先按下信件下方的「重啟 Apple Pay」按鈕,畫面就直接的被導到一個看起來很有「果味」的登入頁面。
撇除了網址列明顯的奇怪網域,在整體版面外觀上,用的是跟正牌 Apple 相似的灰白配色以及圓角風格。
配上頂部的那顆蘋果,及左右兩側的選單與購物袋,第一眼還真的可能被唬到一下。
而繼續往下可以發現,這裡甚至連輸入框下的帳號說明,與網頁底部的客服訊息也都一應俱全。
不小心大意的人,應該就會緊張的直接準備登入了。
不過⋯到底為什麼進一步協助,要有兩個問號呢?
而今天來假設一下,我們就是那個大意的人,不小心的輸入帳密,按下了登入。
咦?等等?不是誒!?這麼直接的就將頁面帶到信用卡資訊的輸入畫面了啊,你好歹也裝一下吧?
好吧,既然都這麼表達渴望了,那我也只好釋出最大的「善意」回應囉,這裡再次以亂數資料填入後送出。
看來這次有認真了一些,還真的有做出 OTP 簡訊認證。
不過這樣看下來,這個網站的意圖與流程就十分明確了。
從以上測試中,我們可以看得出來以下幾點:
而其中除了常見的信用卡資訊外, Apple ID 被盜這點,可能又更具有無形的殺傷力。
尤其以蘋果設備為主力的朋友們,應該都有更深的體認。
今天如果單純信用卡遭盜刷,即時向銀行提出申訴並停卡,便有機會降低影響。
但萬一不幸是 Apple ID 遭盜取,不僅官方不一定能解救之外,還有可能導致手邊所有與帳號關連的設備都遭鎖定,以及存於雲端的資料外流等風險。
而這裡也再次提醒,這部份流程就跟網購一樣,只要給予這個頁面中的這些資訊,外加銀行 OTP 驗證後,基本上就代表你已經授權對方進行刷卡請款的動作了。
因此只要未來有任何未知來源第三方向你索取這些資料,都請特別迴避。
這次的詐騙網頁,雖說看起來較為精緻,但實際玩動過後,依就可以發現端倪。
像是標題列上的左右側看似選單的按鈕,按下去是都不會有反應的。
真正的網頁點下去則是會跳出主題選單,或是你的購物車頁面去。
而帳密欄位下的「忘記」及「建立」兩個連結,實際上也是無意義,點下去都會被導回這個頁面。
不過有趣的是,附在網頁底下的這個支電話,經反查後居然還真的標示為 Apple 客服中心,倒是在這個奇怪的細節用了點心。
雖然在測試完撰文時,有突然好奇這個網站到底有沒有偵測所在地而改變內容的能力⋯
但可惜的是再回到該網址後,卻已是失效網頁,而且兩封信的連結皆同。
看起來應該是時效性的,也就只好放棄進一步實測了。
雖然這次實測的這個案例,看起來十分明顯且容易拆穿,但現在市面上更不乏其他更為精細的手段。
尤其是這個 AI 工具發達的時代,快速製作以假亂真的內容,或甚至網頁也都已不是難事。
唯獨加強自己的個資保護意識,以及隨時留心的態度,才能盡可能降低風險。
再加上我自己也仍未知為何這組信箱會被搜集,因此也還需格外注意。
最後在這裡也附上現在 Apple ID 管理頁面的實際截圖,希望大家不要受騙上當囉!
《全文。終了》